AF中gre over ipsec vpn的使用分享

前言: sangforvpn支持总部与分支组网，但默认分支与分支无法互访，必须要通过两端配置隧道间路由，将去往另外一个分支的路由丢给vpntun。标准的ipsec不支持动态路由，gre支持动态路由，所以将两者结合即gre over ipsec vpn。

这个文档官方一直没更新，但对个功能还是蛮关心的，去优酷上看了下更新的三个视频，gre，ospf，gre over ipsec。然后将三个知识点结合一下，找了三台AF测试机升到7.2(ps:超融合的vAF只有6.9不支持gre，坑啊)，自己动手做了个实验，某公司吧。

首先配置基础网络，然后配置gre的部分，gre里面ip地址就是tunnel接口地址，然后源地址填本端的lan口ip，目的地址填分支lan口ip。设置好gre后，要配置动态路由协议，ospf将本地网段发布出来，最后配置ipsec部分进行数据加密(ps:这里ipsec是标准的ipsec 不是sangforvpn),ipsec第三方对接这里就不具体贴图了，直接用主模式配就行了。

vpn建立好之后，我们可以看下分支2的路由表，已经通过总部学习到了分支1的路由(192.168.2.0/24),如果我们将ipsecvpn停止服务器，那么路由表中只会有tunnel接口的直连路由。

帖子必须赞一个咯，这样才凑的起字数

分享不错

真是好帖呀，大神级人物，膜拜膜拜膜拜。。。

倪大神，牛皮

手动点赞

学习了.... 看下有没机会用得上！！！！！！！

楼主。AF和H3C通过IPSCE第三方对接。。。GRE这块能配置吗